漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0136806
漏洞标题:22万iCloud账号及机密信息被多款内置后门越狱插件窃取并泄露(越狱iPhone手机真实窃密案例)
相关厂商:某些iPhone插件
漏洞作者: i_82
提交时间:2015-08-27 13:16
修复时间:2015-10-14 07:20
公开时间:2015-10-14 07:20
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-27: 细节已通知厂商并且等待厂商处理中
2015-08-30: 厂商已经确认,细节仅向厂商公开
2015-09-09: 细节向核心白帽子及相关领域专家公开
2015-09-19: 细节向普通白帽子公开
2015-09-29: 细节向实习白帽子公开
2015-10-14: 细节向公众公开
简要描述:
这次从XXX中拖出了大量机密数据,并且得知这些数据的来源居然是……
越狱以后千万不要安装来历不明的应用和插件,被获取到 iCloud 账号以后可以锁定机器,解开激活锁,这些都够受的……
详细说明:
听说最近微信抢红包比较火,而且还有拿这个进行违法赌博的,规则大概是交押金进群,然后庄家发红包大家抢(数额大概是几百块的样子,比押金低),抢到最少的继续发同样金额的,如果不发,则不退押金踢出群。通过这种渠道违法赌博的行为,一个月可入近万元。
因此有不少“黑产”看准了这个机会,推出了一系列“微信红包透视”、“微信秒抢红包”的插件,私底下售卖,其中能够透视红包剩余金额(在自己没拆之前查看)的“红包透视”,曾一度被炒到数万元,一台设备授权需要近千元。
但是有不少使用过抢红包软件的朋友反映,自己的 Apple ID 被拿去刷榜了,这应该是一个黑色的产业链,然而这次我只是发现了其中的冰山一角。
首先我们找到一个分享源,找到了一个名字为“6K 红包王”的插件:http://apt.so/niaooo
装完以后长这样:
因为是要调查它窃取 iCloud 账号密码的证据,我们直奔主题,进行逆向分析,得到下面的地址:
后台倒是挺性感,没有任何安全意识,抓包找到下面这个地址:
这个地址把 game 参数去掉,能拿到不少 receipt,不过貌似是加密的。
继续分析二进制动态链接库:
AES256Decrypt 以后,仍然是 data,应该是苹果的某种授权文件,不过仍然不知道怎么读,继续看数据库吧。
上脚本,直接跑(根本无过滤懒得手工):
这个表应该是授权表,数据还不少:
这个更多,好像发现了什么不得了的东西……
目测是 Apple ID,试一试(请审核君帮忙打上马赛克),试了 10 个 Apple ID,登录成功了 7 个:
22万的 iCloud 帐号和密码,还是明文存储的,WTF?这么容易就拿到了?就像是故意被人放出来一样……
整个拖下来花了一天时间,以下是部分截图(业余打码):
从 2W 条数据开始,发现有不少数据存在数据来源信息,其中发现有几个关键词。
下图是“bamu”,难道和威锋论坛中大家经常提起的“刀八木”有关?
其余的数据,有来自“letv”的,大多数还是来自“iwexin”的,不过的确不少。
从大约 3W 条数据开始,来自“iwexin”的数据不再是明文,而是加密后的数据,并不大会解密,期待大牛……
暂且就分析这么多,关键还是通过乌云网向广大的 iOS 越狱用户发出警报,渗透过程非常简单,还请诸神多多包涵……
漏洞证明:
修复方案:
并没有什么修复方案,手动 @腾讯 @微信 @威锋源 @网警……
谢谢大家围观。
版权声明:转载请注明来源 i_82@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-08-30 07:19
厂商回复:
对于此类边缘APP,暂未能列入处置流程,因此导致的信息泄露事件,由APP管理方负责,同时建议用户不要安装此类APP.
最新状态:
暂无